UMOWA POWIERZENIA PRZETWARZANIA DANYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH
zawarta pomiędzy:
Pracodawcą w rozumieniu Regulaminu dla Pracodawców, dostępnego na stronie internetowej xxxxx00.xxxx (zwanym dalej: „Administratorem”)
a
Talent Pool Group spółka z ograniczoną odpowiedzialnością, ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000948945, NIP: 5213954252, adres e-mail: xxxxxxx@xxxxx00.xxxx (zwanym dalej: „Przetwarzającym”, „Podmiotem przetwarzającym”)
zwanymi dalej łącznie „Stronami”.
Mając na uwadze, że:
1) DPA stanowi integralną część Regulaminu;
2) DPA określa zasady przetwarzania danych osobowych Pracowników Pracodawcy za pośrednictwem Xxxxxxx;
3) Talent Pool Group spółka z ograniczoną odpowiedzialnością jest Podmiotem Przetwarzającym w imieniu Pracodawcy dane osobowe Pracowników Pracodawcy wprowadzone do Portalu;
4) DPA reguluje zasady przetwarzania przez Administratora danych osobowych w imieniu Pracodawcy w taki sposób, aby odpowiadały one postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) – dalej „RODO”;
5) Terminy użyte w DPA, które są pisane z wielkich liter mają znaczenie określone w Regulaminie dla Pracodawców, którego treść dostępna jest na stronie internetowej xxxxx00.xxxx.
Xxxxxx ustaliły, że:
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych, na zasadach i w celu określonym w niniejszej umowie oraz Regulaminie.
2. Umowa zostaje zawarta z wykorzystaniem standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi przyjętych przez Komisję Europejską (Decyzja Wykonawcza Komisji (UE) 2021/915) z dnia 4 czerwca 2021 r.
Standardowe klauzule umowne (DPA)
SEKCJA I
Klauzula 1 Cel i zakres
a) Celem niniejszych standardowych klauzul umownych („klauzule”) jest zapewnienie przestrzegania art. 28 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
b) Administratorzy i podmioty przetwarzające wymienieni w załączniku I uzgodnili niniejsze klauzule w celu zapewnienia przestrzegania art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.
c) Niniejsze klauzule mają zastosowanie do przetwarzania danych osobowych określonego w załączniku II.
d) Załączniki I–IV stanowią integralną część klauzul.
e) Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega administrator danych na mocy rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
f) Niniejsze klauzule same w sobie nie zapewniają wypełnienia obowiązków związanych z międzynarodowym przekazywaniem danych zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
Klauzula 2
Niezmienność klauzul
a) Xxxxxx zobowiązują się nie zmieniać klauzul z wyjątkiem dodawania informacji do załączników lub aktualizowania zawartych w nich informacji.
b) Postanowienie to nie uniemożliwia stronom umieszczania standardowych klauzul umownych określonych w niniejszych klauzulach w treści umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem, że nie będą one bezpośrednio lub pośrednio sprzeczne z klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą.
Klauzula 3 Wykładnia
a) Jeżeli w niniejszych klauzulach użyto terminów zdefiniowanych odpowiednio w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725, terminy te mają takie samo znaczenie jak w tych rozporządzeniach.
b) Niniejsze klauzule odczytuje się i interpretuje w świetle odpowiednio przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c) Niniejszych klauzul nie interpretuje się w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725 ani w sposób naruszający podstawowe prawa lub wolności osób, których dane dotyczą.
Klauzula 4 Hierarchia
W razie sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między stronami istniejących w chwili uzgadniania niniejszych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają niniejsze klauzule.
Klauzula 5
Klauzula przystąpienia
a) Każdy podmiot niebędący stroną niniejszych klauzul może za zgodą wszystkich stron przystąpić do niniejszych klauzul jako administrator lub podmiot przetwarzający w dowolnym czasie, wypełniając załączniki i podpisując załącznik I.
b) Po wypełnieniu i podpisaniu załączników wymienionych w lit. a) podmiot przystępujący jest traktowany jako strona niniejszych klauzul i ma prawa i obowiązki administratora lub podmiotu przetwarzającego, zgodnie z rolą nadaną mu w załączniku I.
c) Przed przystąpieniem do niniejszych klauzul jako ich strona podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul.
SEKCJA II
Obowiązki Stron Klauzula 6
Opis przetwarzania
Szczegóły dotyczące operacji przetwarzania, w szczególności kategorie danych osobowych i cele, dla których dane osobowe są przetwarzane w imieniu administratora, określono w załączniku II.
Klauzula 7
Obowiązki stron
7.1. Polecenia
a) Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.
b) Podmiot przetwarzający bezzwłocznie powiadamia administratora, jeżeli w opinii podmiotu przetwarzającego polecenie wydane przez administratora narusza rozporządzenie (UE) 2016/679 lub rozporządzenie (UE) 2018/1725 lub obowiązujące przepisy Unii lub państwa członkowskiego o ochronie danych.
7.2. Ograniczenie celu
Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w załączniku II, chyba że otrzyma dalsze polecenia od administratora.
7.3. Czas trwania przetwarzania danych osobowych
Przetwarzanie przez podmiot przetwarzający odbywa się wyłącznie przez okres określony w załączniku II.
7.4. Bezpieczeństwo przetwarzania
a) W celu zapewnienia bezpieczeństwa danych osobowych podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku III. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.
b) Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
7.5. Dane wrażliwe
Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych („dane wrażliwe”), podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia.
7.6. Dokumentacja i zgodność
a) Strony są w stanie wykazać zgodność z niniejszymi klauzulami.
b) Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania administratora dotyczące przetwarzania danych zgodnie z niniejszymi klauzulami.
c) Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w niniejszych klauzulach i wynikają bezpośrednio z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725. Na wniosek administratora podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych niniejszymi klauzulami
i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma podmiot przetwarzający.
d) Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem.
e) Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) strony udostępniają mu (im) informacje, o których mowa w niniejszej klauzuli, w tym wyniki wszelkich audytów.
7.7. Korzystanie z usług podmiotów podprzetwarzających
a) OGÓLNA PISEMNA ZGODA: Podmiot przetwarzający ma ogólną zgodę administratora na korzystanie z usług podmiotów podprzetwarzających wpisanych do uzgodnionego wykazu. Podmiot przetwarzający informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podmiotów podprzetwarzających z wyprzedzeniem co najmniej co najmniej 7 (siedmiu) dni przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego, dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego (podmiotów podprzetwarzających). Podmiot przetwarzający przekazuje administratorowi niezbędne informacje umożliwiające mu skorzystanie z prawa sprzeciwu.
b) Jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na podmiot przetwarzający dane zgodnie z niniejszymi klauzulami. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega podmiot przetwarzający na mocy niniejszych klauzul oraz rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c) Na wniosek administratora podmiot przetwarzający przekazuje administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.
d) Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z podmiotem przetwarzającym. Podmiot przetwarzający powiadamia administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.
e) Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą – jeżeli podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.
7.8. Międzynarodowe przekazywanie danych
a) Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
b) Jeżeli zgodnie z klauzulą 7.7 podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V rozporządzenia (UE) 2016/679, administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V rozporządzenia (UE) 2016/679 za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 rozporządzenia (UE) 2016/679, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.
Klauzula 8
Pomoc dla administratora
a) Podmiot przetwarzający niezwłocznie zawiadamia administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że administrator wyraził na to zgodę.
b) Podmiot przetwarzający pomaga administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Wypełniając swoje obowiązki zgodnie z lit. a) i b), podmiot przetwarzający stosuje się do poleceń administratora.
c) Oprócz spoczywającego na podmiocie przetwarzającym obowiązku pomagania administratorowi zgodnie z klauzulą 8 lit. b) podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje podmiot przetwarzający:
1) obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;
2) obowiązek skonsultowania się z właściwym(-i) organem(-ami) nadzorczym(-i) przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego ograniczenia;
3) obowiązek zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie administratora, jeżeli podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;
4) obowiązki określone w art. 32 rozporządzenia (UE) 2016/679.
d) Strony określają w załączniku III odpowiednie środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający jest zobowiązany pomagać administratorowi w stosowaniu niniejszej klauzuli, jak również zakres wymaganej pomocy.
Klauzula 9
Zgłaszanie naruszenia ochrony danych osobowych
W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 lub, w stosownych przypadkach, z art. 34 i 35 rozporządzenia (UE) 2018/1725, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający.
9.1. Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora
W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez administratora podmiot przetwarzający wspomaga administratora:
a) przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu (-ym) niezwłocznie po tym, jak administrator dowiedział się o naruszeniu, w stosownych przypadkach/(chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);
b) przy uzyskiwaniu następujących informacji, które zgodnie z art. 33 ust. 3 rozporządzenia (UE) 2016/679 powinny być zawarte w zgłoszeniu administratora i obejmować co najmniej:
1) charakter danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2) możliwe konsekwencje naruszenia ochrony danych osobowych;
3) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
c) Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;
d) przy wypełnianiu – zgodnie z art. 34 rozporządzenia (UE) 2016/679 – obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.
9.2. Naruszenie ochrony danych dotyczące danych przetwarzanych przez podmiot przetwarzający
W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez podmiot przetwarzający podmiot przetwarzający zgłasza naruszenie administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu. Zgłoszenie to powinno zawierać co najmniej:
a) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);
b) dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;
c) wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.
Strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający, wspomagając administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 rozporządzenia (UE) 2016/679.
SEKCJA III
POSTANOWIENIA KOŃCOWE
Klauzula 10
Naruszenie klauzul i rozwiązanie umowy
a) Bez uszczerbku dla przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725, w przypadku gdy podmiot przetwarzający narusza swoje obowiązki wynikające z niniejszych klauzul, administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy podmiot przetwarzający zapewni zgodność z niniejszymi klauzulami, lub umowa ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do niniejszych klauzul.
b) Administrator jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli:
1) administrator zawiesił przetwarzanie danych osobowych przez podmiot przetwarzający zgodnie z lit. a) i jeżeli zgodność z niniejszymi klauzulami nie zostanie przywrócona w rozsądnym terminie, a w każdym razie w terminie jednego miesiąca od zawieszenia;
2) podmiot przetwarzający poważnie lub stale narusza niniejsze klauzule lub swoje obowiązki wynikające z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725;
3) podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego(-ych) organu(-ów) nadzorczego(-ych) dotyczącej jego obowiązków wynikających z niniejszych klauzul lub z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c) Podmiot przetwarzający ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli po zawiadomieniu administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z klauzulą 7.1 lit. b), administrator nalega na wypełnienie polecenia.
d) Po rozwiązaniu umowy podmiot przetwarzający, zależnie od decyzji administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu administratora i poświadcza administratorowi, że tego dokonał, lub zwraca administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie niniejszych klauzul do czasu usunięcia lub zwrotu danych.
ZAŁĄCZNIK I
Wykaz stron
Administrator (administratorzy): [dane identyfikacyjne i kontaktowe administratora (administratorów) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez administratora] | |
Imię i nazwisko lub nazwa: | Pracodawca w rozumieniu Regulaminu dla Pracodawców |
Adres: | Wynika z umowy zawartej pomiędzy Pracodawcą a Przetwarzającym |
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: | Wynika z umowy zawartej pomiędzy Pracodawcą a Przetwarzającym |
Podpis i data przystąpienia: | Podpis nie jest wymagany, umowa zawarta elektronicznie; data przystąpienia wynika z umowy zawartej pomiędzy Pracodawcą a Przetwarzającym |
Podmiot przetwarzający (podmioty przetwarzające): [dane identyfikacyjne i kontaktowe podmiotu przetwarzającego (podmiotów przetwarzających) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez podmiot przetwarzający] | |
Imię i nazwisko lub nazwa: | Talent Pool Group spółka z ograniczoną odpowiedzialnością |
Adres: | ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxxx |
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: | Wynika z umowy zawartej pomiędzy Pracodawcą a Przetwarzającym |
Podpis i data przystąpienia: | Podpis nie jest wymagany, umowa zawarta elektronicznie; data przystąpienia wynika z umowy zawartej pomiędzy Pracodawcą a Przetwarzającym |
ZAŁĄCZNIK II
Opis przetwarzania
Kategorie osób, których dane osobowe są przetwarzane: | Osoby fizyczne, które wyraziły zainteresowanie nawiązaniem współpracy z Pracodawcą przez wysłanie Aplikacji na Ogłoszenie tego Pracodawcy za pośrednictwem Xxxxxxx (Pracownicy). |
Kategorie przetwarzanych danych osobowych: | Imię i nazwisko, adres, telefon, e-mail, data i miejsce urodzenia, wizerunek, dane o wykształceniu, doświadczeniu zawodowym, inne dane podane dobrowolnie przez pracownika w CV, liście motywacyjnym lub w Aplikacji. |
Przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa: | Nie dotyczy. |
Charakter przetwarzania: | Charakter przetwarzania wynika z zawartych w Regulaminie dla Pracodawcy, łączącym administratora i podmiot przetwarzający, zobowiązań podmiotu przetwarzającego jako podmiotu świadczącego usługi na rzecz administratora. |
Cel(e), w którym(-ych) dane osobowe są przetwarzane w imieniu administratora: | Xxxxx przetwarzania jest świadczenie przez podmiot przetwarzający usług na rzecz administratora wynikających z Regulaminu. |
Czas trwania przetwarzania: | Przetwarzanie danych osobowych zostaje powierzone podmiotowi przetwarzającemu w okresie świadczenia usług na rzecz administratora, o których mowa w Regulaminie. |
ZAŁĄCZNIK III
Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych
Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot przetwarzający (podmioty przetwarzające) (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych:
KATEGORIA ŚRODKA | OPIS ŚRODKA |
Osoby upoważnione | W Talent Pool Group do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające odpowiednie upoważnienie. Upoważnienia te są przechowywane w aktach osobowych osób upoważnionych. |
Nadanie upoważnienia następuje w formie pisemnej (lub w formie elektronicznej) przez podpisanie stosownego dokumentu przez osobę upoważnioną i Talent Pool Group przed rozpoczęciem przez tę osobę wykonywania czynności, z którymi związane jest przetwarzanie danych osobowych. | |
Współpracownik Talent Pool Group, któremu nadano upoważnienie uzyskuje status osoby upoważnionej i może przetwarzać dane osobowe w Talent Pool Group w zakresie wskazanym w upoważnieniu. | |
Osoby upoważnione zbierając dane osobowe mają obowiązek korzystać z przygotowanych dokumentów dostosowanych do wymogów RODO. | |
Zakończenie współpracy z daną osobą upoważnioną jest równoznaczne z cofnięciem jej upoważnienia do przetwarzania danych osobowych. | |
Osoby mające dostęp do danych osobowych w Talent Pool Group są również zobowiązane do zachowania w poufności danych osobowych, do których będą mieli dostęp. | |
Polityka kontroli dostępu | Do każdej roli (zaangażowanej w przetwarzanie danych osobowych) są przypisane określone prawa kontroli dostępu zgodnie z zasadą ograniczonego dostępu. Nie każdy współpracownik Talent Pool Group ma dostęp do wszystkich danych przetwarzanych przez Talent Pool Group. |
Dostęp do danych osobowych będzie przyznawany zgodnie z zasadą wiedzy koniecznej. Osobom upoważnionym nie będzie przyznawany dostęp do danych osobowych, do których nie muszą one mieć dostępu w związku z wykonywaniem obowiązków wynikających z umowy zawartej z Talent Pool Group. | |
Rozwój i bezpieczeństwo Portalu | Tworzenie oprogramowania w ramach rozwoju Portalu odbywa się w specjalnym środowisku, które nie jest połączone ze środowiskiem produkcyjnym. |
Podczas cyklu rozwoju Portalu są stosowane najlepsze, najnowsze i uznane praktyki bezpiecznego rozwoju oprogramowania. | |
Poprawki do oprogramowania powinny być testowane i analizowane przed ich zainstalowaniem w środowisku produkcyjnym. |
Talent Pool Group przestrzega standardów i praktyk bezpiecznego kodowania. | |
Talent Pool Group przeprowadza okresowe testy penetracyjne i testy bezpieczeństwa. | |
Talent Pool Group uzyskuje informacje o technicznych lukach Portalu. | |
Podmioty Przetwarzające I udostępnianie danych | Talent Pool Group korzysta z usług dalszych podmiotów przetwarzających dających gwarancję należytego przestrzegania przepisów dotyczących ochrony danych osobowych. |
Talent Pool Group zawiera odpowiednie umowy z dalszymi podmiotami przetwarzającymi regulujące kwestie przetwarzania danych osobowych, w szczególności umowy regulujące dalsze powierzenie przetwarzania danych osobowych. | |
Umowy regulujące dalsze powierzenie przetwarzania danych osobowych muszą spełniać wymogi określone w RODO. | |
Dane osobowe nie mogą być udostępniane podmiotom nieuprawnionym do ich otrzymania. | |
W razie wątpliwości co do udostępnienia danych osobowych, osoba upoważniona ma obowiązek skonsultowania się z zarządem Talent Pool Group. | |
Postępowanie w przypadku incydentów i naruszenia ochrony danych osobowych | Talent Pool Group określiło szczegółowe procedury dotyczące sposobu reagowania na incydenty i naruszenia ochrony danych osobowych tak, aby zapewnić skuteczną i uporządkowaną reakcję na naruszenia dotyczące danych osobowych. |
Współpracownicy muszą niezwłocznie zgłaszane zarządowi, naruszenie ochrony danych osobowych (lub podejrzenie naruszenia). | |
Incydenty i przypadki naruszenia danych osobowych, które nie są zgłaszane Prezesowi UODO są rejestrowane w rejestrze wewnętrznym wraz ze szczegółami dotyczącymi zdarzenia i podjętymi następnie działaniami. | |
Incydenty i przypadki naruszenia danych osobowych są zgłaszane Pracodawcom, którzy są administratorami danych osobowych, których dotyczyły incydenty i przypadki naruszeń. | |
Zasady dotyczące Współpracowników | Talent Pool Group zapewnia, że wszyscy Współpracownicy rozumieją swoje obowiązki i odpowiedzialność związaną z przetwarzaniem danych osobowych. Role i obowiązki są jasno zakomunikowane podczas procesu poprzedzającego zatrudnienie i podczas procesu wdrażania do pracy. |
Kontrola dostępu i uwierzytelnianie | Hasła używane w Talent Pool Group posiadają co najmniej 8 znaków (w przypadku telefonów i tabletów dopuszczalne jest hasło zawierające 4 znaki – tzw. kod PIN). |
Współpracownicy zajmujący się przetwarzaniem danych osobowych wysokiego ryzyka mogą stosować uwierzytelnianie dwuskładnikowe. | |
Współpracownicy zobowiązani są do przechowywania haseł w bezpiecznym miejscu i nieudostępniania ich innym. | |
Serwery baz danych i aplikacji przetwarzają tylko te dane osobowe, które są rzeczywiście potrzebne do osiągnięcia celów przetwarzania. |
Bezpieczeństwo serwerów i baz danych | Talent Pool Group zapewnia szyfrowanie w trakcie przesyłania danych zarówno w momencie przesyłania danych pomiędzy użytkownikiem a Portalem jak i pomiędzy poszczególnymi centrami danych, z których korzysta Talent Pool Group. |
Baza danych jest chroniona przed dostępem nieupoważnionych osób z zewnątrz, a serwer jest na bieżąco aktualizowany o najnowsze łatki bezpieczeństwa. | |
Bezpieczeństwo komputerów, telefonów, tabletów, nośników cyfrowych | Współpracownicy nie powinni dezaktywować ani obchodzić ustawień zabezpieczeń. |
Programy antywirusowe na komputerach używanych przez współpracowników powinny być regularnie aktualizowane. | |
Współpracownicy nie powinni instalować lub dezaktywować nieautoryzowanych aplikacji i programów. | |
Każdy komputer, na którym przetwarzane są dane osobowe w Talent Pool Group, jest wyposażony w program antywirusowy, którego celem będzie wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Program antywirusowy powinien gwarantować zachowanie poziomu bezpieczeństwa adekwatnego do przetwarzanych danych. W ustawieniach programu antywirusowego powinna być włączona opcja aktualizacji automatycznych. | |
System operacyjny każdego komputera, telefonu i tabletu, na którym przetwarzane są dane osobowe, powinien być aktualizowany niezwłocznie po ukazaniu się kolejnych oficjalnych aktualizacji. | |
Dostęp do komputera, telefonu i tabletu, na którym przetwarzane są dane osobowe, dostęp do narzędzi informatycznych (w szczególności dostęp do poczty elektronicznej), zabezpieczony jest przez wymóg podania indywidualnego loginu oraz hasła przypisanego konkretnemu Współpracownikowi (wymóg podania hasła do zalogowania się i odblokowania). | |
Po zakończonej pracy lub w przypadku opuszczania stanowiska pracy, współpracownik powinien wylogować się ze swojego konta na komputerze. | |
Każdy ze współpracowników powinien zabezpieczyć nośnik danych (w szczególności (komputer, telefon, tablet, nośniki cyfrowe, nośniki fizyczne), którego używa przed jego zniszczeniem, kradzieżą lub przypadkową utratą. | |
Każdy komputer, telefon, tablet, nośnik cyfrowy powinien być zabezpieczony hasłem lub szyfrowaniem w celu uniemożliwienia osobom nieupoważnionym uzyskania dostępu do znajdujących się na nim danych. | |
Dane osobowe mogą być przetwarzane na komputerach, telefonach i tabletach będących własnością Talent Pool Group. Współpracownicy nie mogą przetwarzać danych osobowych na prywatnych komputerach, telefonach i tabletach, chyba że Talent Pool Group udzielił na to wyraźnej zgody. | |
Bezpieczeństwo sieci i komunikacji | W każdym przypadku, gdy dostęp odbywa się przez Internet, komunikacja jest szyfrowana za pomocą protokołów kryptograficznych (TLS/SSL). |
Kopie zapasowe | Procedury tworzenia kopii zapasowych i przywracania danych są zdefiniowane, udokumentowane i wyraźnie powiązane z rolami i obowiązkami. |
Kopie zapasowe mają zapewniony odpowiedni poziom ochrony fizycznej i środowiskowej. |
Wykonywanie kopii zapasowych jest monitorowane w celu zapewnienia ich kompletności. | |
Zaplanowane wykonywanie przyrostowych kopii zapasowych powinno odbywać się: co najmniej raz dziennie. | |
Zabezpieczenia fizyczne | Fizyczna część infrastruktury, z której korzysta Talent Pool Group nie jest dostępna dla osób nieupoważnionych. |
Talent Pool Group może stosować ograniczenia fizyczne w dostępie do poszczególnych pomieszczeń (np. karty dostępu, klucze). |
Opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować Talent Pool Group (podmiot przetwarzający), aby móc udzielić pomocy Pracodawcy (administratorowi):
1. Talent Pool Group ma obowiązek pomagania Pracodawcy przez poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązków wynikających z RODO, w tym:
1) z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
2) z obowiązków określonych w art. 32–36 RODO.
2. W razie potrzeby Pracodawca przekaże Talent Pool Group zakres czynności, których wykonania oczekuje.
3. Talent Pool Group ma obowiązek ustosunkowania się do żądania Pracodawcy niezwłocznie po otrzymaniu żądania.
4. Pracodawca może zwrócić się o przekazanie mu następujących informacji:
1) opisu systemów informatycznych używanych do przetwarzania danych osobowych;
2) listy osób upoważnionych do przetwarzania danych osobowych;
3) zaktualizowanego opisu stosowanych środków technicznych i organizacyjnych.
5. Talent Pool Group udostępnia Pracodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków w RODO.
6. W przypadku, gdyby to Talent Pool Group otrzymał od osoby, której dane dotyczą (a której dane jako administrator przetwarza Pracodawca) żądanie zakresie wykonywania przez nią praw przysługujących jej na mocy rozdziału III RODO, niezwłocznie przekaże treść tego żądania Pracodawcy. Strony ustalą wówczas sposób i treść odpowiedzi, która zostanie udzielona osobie, której dane dotyczą.
ZAŁĄCZNIK IV
Wykaz podmiotów podprzetwarzających
UWAGA WYJAŚNIAJĄCA:
Administrator zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:
1. | |
Imię i nazwisko lub nazwa: | Amazon Web Services, Inc. |
Adres: | 000 Xxxxx Xxxxxx Xxxxx, Xxxxxxx, XX |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | Amazon Web Services, Inc. przetwarza dane osobowe w ramach świadczenia na rzecz Talent Pool Group usługi hostingu Portalu. |
2. | |
Imię i nazwisko lub nazwa: | Xxxxxxxx sp. z o.o. |
Adres: | ul. Xxxxxxxxxxxx 00, 00-000 Xxxxxx |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | Benhauer sp. z o.o. przetwarza dane osobowe w ramach korzystania przez Talent Pool Group z narzędzia Sales Manago dostarczanego przez ten podmiot. |
3. | |
Imię i nazwisko lub nazwa: | Vercom X.X. |
Xxxxx: | ul. Xxxxxxxxxx 00, 00-000 Xxxxxx |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | Vercom S.A. przetwarza dane osobowe w ramach korzystania przez Talent Pool Group z narzędzia EmailLabs dostarczanego przez ten podmiot. |
4. | |
Imię i nazwisko lub nazwa: | ONE House sp. z o.o. |
Adres: | ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxxx |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | ONE House sp. z o.o. przetwarza dane osobowe w ramach świadczenia na rzecz Talent Pool Group usług informatycznych związanych z rozwojem Portalu. |
5. | |
Imię i nazwisko lub nazwa: | Silver Agency sp. z o.o. |
Adres: | ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxxx |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | Silver Agency sp. z o.o. przetwarza dane osobowe w ramach świadczenia na rzecz Talent Pool Group usług dotyczących obsługi portalu. |
6. | |
Imię i nazwisko lub nazwa: | Mad Mountain sp. z o.o. |
Adres: | ul. Biała 4 lok. 81, 00-895 Warszawa |
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): | Mad Mountain sp. z o.o. przetwarza dane osobowe w ramach świadczenia na rzecz Talent Pool Group usług informatycznych związanych z Portalem. |